Die Integration von KI-Assistenten direkt in Browser – etwa Microsoft Copilot in Edge, Google Gemini in Chrome oder Comet von Perplexity – verändert den Alltag im Web: Seiten analysieren, Inhalte zusammenfassen, Fragen beantworten. Eine aktuelle Untersuchung von Cato Networks zeigt jedoch, dass diese Komfortfunktionen einen neuen Angriffsvektor eröffnen. Die Technik trägt den Namen HashJack und nutzt eine unscheinbare Eigenschaft von URLs, um versteckte Befehle in KI-Modelle einzuschleusen.
Was ist HashJack? Angriff über das URL-Fragment hinter dem #
Technische Grundlage der HashJack-Attacke ist der Umgang von Browsern mit dem sogenannten URL-Fragment. Alles, was in einer Webadresse nach dem Zeichen # steht (z. B. https://example.com/artikel#abschnitt1), wird gemäß Browser-Spezifikation nicht an den Webserver übertragen. Es wird ausschließlich lokal im Browser ausgewertet, typischerweise für Sprungmarken oder Single-Page-Applications.
Angreifer können diese Eigenschaft ausnutzen, indem sie einen vollständig legitimen Link nehmen und am Ende ein # plus versteckte Instruktionen für den KI-Assistenten ergänzen. Für den Server sieht die Anfrage harmlos aus, da der Fragmentteil gar nicht auftaucht. Der integrierte KI-Assistent hingegen verarbeitet beim Analysieren der Seite auch den URL-Kontext – und damit die im Fragment verborgenen Befehle.
So wird das #-Fragment zu einem verdeckten Steuerkanal für die Sprachmodelle: Wenn der Nutzer etwa «Fasse die Seite zusammen» oder «Beantworte Fragen zum Inhalt» anfordert, erhält das Modell zusätzlich die manipulierten Prompts aus dem URL-Fragment, ohne dass der Nutzer diese sieht.
HashJack als neuartige Form der indirekten Prompt Injection
Prompt Injection gilt laut Sicherheitsinitiativen wie OWASP und dem NIST AI Risk Management Framework inzwischen als zentrale Bedrohung für generative KI. Klassischerweise manipuliert der Angreifer dabei direkt den sichtbaren Inhalt (z. B. Text auf einer Webseite), um die KI zu Regelverletzungen oder Datenlecks zu bewegen.
Die Besonderheit von HashJack: Der Ziel-Webserver muss nicht kompromittiert werden. Jeder vertrauenswürdige, unveränderte Inhalt kann zum Angriffsvektor werden, wenn lediglich die aufgerufene URL angepasst wird. Das verschiebt das Risiko von «Angreifer kontrolliert die Seite» hin zu «Angreifer kontrolliert den Link» – ein deutlich niedrigeres Einstiegshindernis, insbesondere für Phishing-Kampagnen, Chat-Nachrichten, geteilte Dokumente oder Anzeigen.
Praktische Angriffsszenarien: Datenabfluss, Phishing und falsche Empfehlungen
In den von Cato Networks beschriebenen Tests gelang es, KI-Browser mit Agentenfunktionen wie Perplexity Comet zu missbrauchen, um vertrauliche Nutzerdaten automatisiert abzufließen. Über den im Fragment eingebetteten Prompt wurde der KI-Agent angewiesen, Seitendaten, Interaktionsverläufe oder vom Nutzer eingegebene Informationen zu sammeln und an vom Angreifer kontrollierte Server zu senden.
Weitere demonstrierte Szenarien umfassten manipulierte Empfehlungen und automatisch generierte Phishing-Links. Der KI-Assistent kann dazu gebracht werden, scheinbar legitime, aber tatsächlich schädliche URLs zu «empfehlen» oder die Interpretation von Inhalten zu verfälschen. Besonders kritisch ist dies in regulierten Bereichen wie Gesundheitswesen, Finanzdienstleistungen oder Rechtsberatung, wo fehlerhafte Zusammenfassungen oder manipulierte Ratschläge reale körperliche oder wirtschaftliche Schäden verursachen können.
Reaktion von Google, Microsoft und Perplexity
Cato Networks informierte die betroffenen Anbieter vorab: Perplexity im Juli, Google und Microsoft im August. Laut Bericht stuft Google das Verhalten als «erwartet» ein, bewertete das Risiko mit niedriger Priorität und nahm keine Änderungen an Chrome oder Gemini vor.
Microsoft und Perplexity hingegen haben nach Angaben der Forscher Patches bereitgestellt, um das Risiko von Prompt-Injections über URL-Fragmente zu reduzieren. Microsoft betonte, dass der Schutz vor Prompt-Injection ein kontinuierlicher Prozess sei und neue Angriffstechniken jeweils separat bewertet würden.
Warum klassische Sicherheitsmaßnahmen HashJack nicht erkennen
Konventionelle Web-Sicherheitslösungen wie Web Application Firewalls (WAF), IDS/IPS-Systeme oder Proxy-Gateways analysieren in der Regel den HTTP-Traffic zwischen Client und Server. Da das #-Fragment nicht mitgesendet wird, bleibt der eigentliche Angriffscode für diese Systeme unsichtbar.
Hinzu kommt: Viele Security-Architekturen fokussieren auf Server, Inhalte und Dateien, nicht auf die neue Kombination „Browser + KI-Assistent“. Diese Lücke im Monitoring führt dazu, dass HashJack-Angriffe weder im klassischen URL-Scanning noch in Standard-Anti-Phishing-Mechanismen zuverlässig auffallen.
Empfehlungen: So lassen sich KI-Browser gegen HashJack härten
Aus Sicht der Unternehmenssicherheit ist ein mehrschichtiger Ansatz erforderlich. Zunächst sollten Organisationen die Nutzung von KI-Assistenten im Browser aktiv steuern: Zulässige Tools definieren, Sicherheits- und Datenschutzrichtlinien zentral konfigurieren und riskante Agentenfunktionen abschalten, sofern sie nicht geschäftskritisch sind.
Ein wichtiger technischer Hebel ist die Client-seitige Filterung und Normalisierung von URLs. Sicherheits-Plugins, Endpoint-Agenten oder Secure-Web-Gateways können Fragmentteile nach dem «#» prüfen und z. B. lange, natürlichsprachliche Textsegmente als verdächtig einstufen. Solche Fragmente lassen sich blockieren oder zumindest für KI-Verarbeitung markieren.
Ergänzend sollten Unternehmen die Aktivität von KI-Assistenten protokollieren und auswerten: Welche Prompts werden gestellt, welche Antworten gegeben, welche externen Endpunkte kontaktiert? DLP-Lösungen und Policies sollten definieren, welche Daten ein KI-Assistent überhaupt an externe Dienste übermitteln darf.
Unverzichtbar bleibt zudem die Sensibilisierung der Mitarbeitenden. Anwender sollten verstehen, dass ein bekannter Domainname und ein vertrauter Browser nicht automatisch bedeuten, dass KI-generierte Antworten sicher sind. Kritische Empfehlungen – insbesondere zu Finanzen, Gesundheit oder vertraulichen Geschäftsentscheidungen – sollten grundsätzlich durch unabhängige Quellen oder Fachpersonal verifiziert werden.
HashJack macht deutlich, dass mit dem Siegeszug von KI-Browsern eine neue Angriffsfläche entsteht: der Kontext der Sprachmodelle. Wer seine Sicherheitsstrategie zukunftssicher gestalten will, muss die gesamte Kette „Nutzer – Browser – KI-Assistent – externer Dienst“ berücksichtigen. Es ist ratsam, bereits jetzt technische Kontrollen, Monitoring und Richtlinien für KI-Werkzeuge einzuführen – bevor ein unscheinbares «#» in einer URL zur Einfallstür für die nächste ernsthafte Cyberattacke wird.
